El 1 de abril de 2026 Drupal publicó un aviso de seguridad que no deja lugar a medias tintas: vulnerabilidad crítica en el módulo contribuido SAML SSO – Service Provider, en versiones anteriores a la 3.1.4. El Centro Canadiense de Ciberseguridad lo recogió el mismo día y lo dejó claro: hay que revisar el enlace oficial y aplicar las actualizaciones necesarias. Yo no soy de alarmar por alarmar pero cuando un organismo gubernamental te dice que mires un parche crítico en autenticación, lo mínimo es dejar de posponer el mantenimiento.
El problema concreto es un authentication bypass. En castellano: alguien podría colarse donde no debería si tu sitio depende de ese flujo SAML y no has actualizado. No es un fallo de Drupal core que puedas mitigar con un plugin de seguridad de moda: es un módulo concreto, con versión concreta y un camino de actualización concreto. Eso para mí es lo incómodo: no puedes esconder la responsabilidad detrás de «ya miraré el core». El ecosistema contribuido es parte del producto que entregas al cliente.
En paralelo, el proyecto Joomla ha seguido su ritmo de versiones mayores y de rama LTS. La nota de lanzamiento oficial de Joomla destaca la línea 6.0 y la 5.4, con énfasis en actualizaciones automáticas del núcleo con TUF, mejoras en plantillas hijas de Cassiopeia, campos personalizados nuevos y un editor TinyMCE actualizado. No te voy a leer el changelog entero aquí: lo que importa es que el mensaje es el mismo que en cualquier CMS serio en 2026. Si quieres las novedades bonitas, aceptas el ciclo de parches.
Aquí es donde me pongo pesado. Llevo años viendo sitios en Joomla, WordPress o Drupal donde el presupuesto se fue en diseño y en «funcionalidades» y el mantenimiento quedó para cuando «hubiera hueco». Cuando sale un aviso como el de SAML en Drupal, la respuesta no puede ser «pero si casi no usamos SSO». Si lo usas aunque sea en un solo flujo interno, el riesgo es de negocio: acceso indebido, reputación, datos, cumplimiento. Y si no lo usas, igual te toca auditar y documentar que no aplica, porque el día que alguien active un IdP sin avisarte no quieres enterarte por Google Search Console.
Lo que echo en falta en muchas conversaciones con pymes es honestidad sobre el coste total. Un CMS no es una licencia única: es un contrato continuo con la comunidad que mantiene el código. Cuando Drupal o Joomla publican parches no están pidiendo opinión: están cerrando ventanas. El aviso canadiense no añade drama literario; enlaza al boletín oficial y a la página de seguridad de Drupal. Es la versión aburrida y correcta de la noticia, la que deberías tener en el ticket interno antes que en Twitter.
También me preocupa la dispersión. Tienes al equipo de contenido en Gutenberg, al de tienda en WooCommerce, al legado en Joomla 4 y un intranet en Drupal con SAML porque en su día era lo que encajaba. Cada silo tiene su calendario de riesgo. Si no hay una persona o un proveedor que mire todos los sistemas, en algún momento el eslabón débil no será el que imaginas. El bypass de SAML no va a avisarte por correo con asunto amable.
Qué haría yo en la práctica esta semana, sin dramatizar pero sin relajarme: inventario de sitios Drupal con módulos de SSO, comprobar versión del Service Provider SAML, planificar ventana de actualización y prueba en entorno que no sea producción. En Joomla, revisar si ya estás en la rama que toca y si las actualizaciones automáticas del núcleo están activadas y probadas. Y documentar quién tiene la llave cuando falle algo un viernes por la tarde.
La industria del hosting y las agencias lleva años vendiendo «te lo dejamos seguro» con reglas WAF y copias. Eso ayuda, pero no sustituye parches en módulos y extensiones. Si tu argumento comercial es la tranquilidad del cliente, el mantenimiento no es un extra: es el producto.
Fuentes
- Drupal security advisory (AV26-308) — Canadian Centre for Cyber Security
- Joomla 6.0 and Joomla 5.4 are here! — Joomla! Project
Si mañana tu cliente te pidiera un único informe de «riesgo real» en lugar de tres reuniones de status, ¿sabrías demostrar en una página qué versión corre en cada CMS y qué parche de abril de 2026 está aplicado o no?